Trend Micro запускает первое на рынке SecOps решение для борьбы с уязвимостями в открытом исходном коде

25 мая 2021 г., 17:08

Компания Trend Micro представила новое SaaS-решение, созданное совместно с компанией Snyk.

Как уверяет производитель, это первый и единственный на рынке сервис такого рода. Он способен обеспечить эффективный анализ уязвимостей в открытом исходном коде, чтобы снизить уровень риска разработки приложений и помочь специалистам в принятии правильных решений на основе полученных данных.

Open Source Security by Snyk — новый сервис платформы Cloud One и первая партнёрская разработка, ставшая частью её экосистемы. Он уже доступен для скачивания в AWS Marketplace.

Подчеркивается, что Open Source Security by Snyk — первый сервис, который обеспечивает специалистам SecOps полную видимость уязвимостей программного обеспечения с открытым исходным кодом. Компоненты с открытым исходным кодом используются разработчиками всё чаще, ведь они повышают скорость разработки, универсальны и отличаются высоким уровнем качества и масштабируемости. По данным Snyk, 80% кода приложений сегодня берётся из источников с открытым доступом.

В своём исследовании Market Guide for Software Composition Analysis компания Gartner указывает, что «программное обеспечение с открытым исходным кодом используется практически повсеместно. Это создает риски, связанные с уязвимостями, которые легко использовать, и с огромной “поверхностью” атак, которая позволяет вредоносному ПО и коду получить доступ к проприетарному коду и инфраструктуре. Также имеются правовые риски и проблемы с использованием интеллектуальной собственности».i

По данным Snyk, за последние годы был отмечен 2,5-кратный рост числа уязвимостей, связанных с открытым исходным кодом. Это значит, что обеспечение безопасности в ходе разработки ПО сейчас приобретает всё бо́льшую важность. Однако нестыковки в организации рабочих процессов, несовпадающие инструментарии и проблемы коммуникации между SecOps и DevOps никуда не исчезают сами по себе. И слишком часто это означает, что специалисты по безопасности сталкиваются с трудностями и не способны увидеть все риски, связанные с разработкой приложений. Новый облачный сервис от Trend Micro и Snyk способен устранить давние разногласия между SecOps и DevOps с помощью одного универсального решения, которое обеспечивает прозрачность процессов и рисков на раннем этапе жизненного цикла разработки и помогает эффективно защитить от них весь стек.

Практически все приложения, разработанные в мире за последние 25 лет, были созданы с использованием открытого исходного кода. Поскольку потребность в разработке новых облачных приложений продолжает расти, организации часто упускают из виду старые приложения, их компоненты, а также циклы обслуживания и обновления, что создаёт дополнительные сложности и риски.

«С помощью одного этого сервиса мы можем решить сразу несколько проблем и использовать современные технологии для устранения внутренних пробелов в коммуникации, — отметил Кевин Симзер (Kevin Simzer), COO в Trend Micro. — Оно может сэкономить более 650 часов времени разработки для каждого приложения за счёт возможностей автоматизации, помогает управлять рисками с учётом лицензионных требований и даёт специалистам по безопасности шанс увидеть часть функционального кода нашей платформы, которая ранее была им недоступна».

Trend Micro Cloud One - Open Source Security by Snyk также позволяет SecOps-специалистам выявлять уязвимости и проблемы, связанные с лицензированием. Это даёт возможность более эффективно отслеживать риски, правильно расставлять приоритеты при их обнаружении и своевременно сообщать о возникновении таких рисков в процессе разработки проектов. Основные преимущества сервиса:
    • помощь в принятии решений по безопасности на основе полученных данных;
    • непрерывный мониторинг уровней угроз;
    • эффективная приоритезация рисков и рекомендации по их устранению.

Встроенные в решение возможности автоматизации также помогают SecOps-специалистам быстро выявлять и получать информацию о непрямых зависимостях в открытом исходном коде, о существовании которых в своих приложениях могут не знать ни службы безопасности, ни разработчики. Применение этих возможностей позволяет сэкономить около восьми часов на каждой уязвимости.